Comment le European Digital Markets Act (DMA) influe sur la confidentialité des utilisateurs et la gestion du consentement

Le European Digital Markets Act (DMA) est un texte législatif historique visant à promouvoir des marchés numériques équitables et compétitifs au sein de l’Union européenne. Le DMA établit un cadre pour réglementer les grandes entreprises technologiques, connues sous le nom de contrôleurs d’accès. Le but : s’assurer qu’elles n’abusent pas de leur pouvoir sur le marché et protéger la confidentialité des utilisateurs et le consentement en ligne.

Ce cadre imposera un changement significatif aux principaux acteurs de la technologie publicitaire – les contrôleurs d’accès – qui devront désormais s’assurer que les données qu’ils collectent bénéficient d’un consentement approprié de l’utilisateur, alors que, par le passé, cette responsabilité incombait aux sites web qui recouraient aux services des contrôleurs d’accès.

Dans cet article, nous proposerons un résumé du Digital Markets Act, tout en explorant les dispositions clés et l’impact du DMA sur les entreprises et les utilisateurs de l’espace numérique.

Le Digital Markets Act (DMA), ou législation sur les marchés numériques, entré en vigueur le 1er novembre 2022, vise à influer sur la concurrence (à savoir les ententes et abus de position dominante), la protection des consommateurs et le respect de la vie privée dans le secteur numérique. Comment ? En réglementant les grandes plateformes en ligne : les contrôleurs d’accès.

Le DMA impose des restrictions aux réseaux sociaux, moteurs de recherche, plateformes de partage de vidéos, systèmes d’exploitation et services de cloud computing, ainsi qu’aux services de publicité en ligne appartenant aux grandes entreprises numériques. Parce qu’ils ont un impact significatif sur le marché, ces contrôleurs d’accès sont soumis à des obligations et restrictions spécifiques visant à uniformiser les conditions de concurrence pour les petites entreprises et à protéger les droits des utilisateurs.

Pour les utilisateurs, il améliore la confidentialité en imposant de nouvelles restrictions en matière de données et en leur permettant de désinstaller les applications préchargées.

Les innovateurs et les start-ups technologiques auront de nouvelles possibilités de rivaliser et d’innover dans l’environnement des plateformes en ligne, sans avoir à se conformer à des conditions abusives limitant leur développement.

Les consommateurs auront un choix de services plus large et de meilleure qualité, davantage de possibilités de changer de fournisseur s’ils le souhaitent, un accès direct aux services et des prix plus équitables.

Les entreprises qui dépendent des contrôleurs d’accès pour proposer leurs services sur le marché unique bénéficieront d’un environnement plus équitable.

Les contrôleurs d’accès conserveront toutes les opportunités d’innover et de proposer de nouveaux services. Ils ne seront tout simplement pas autorisés à recourir à des pratiques déloyales envers les utilisateurs professionnels et les clients.

Qui sont exactement les contrôleurs d’accès ? Le terme « Contrôleurs d’accès » désigne les grands acteurs du marché numérique, tels que les plateformes en ligne et les moteurs de recherche, qui ont un impact significatif sur le marché et agissent comme intermédiaires entre les entreprises et les consommateurs.
Les six contrôleurs d’accès désignés par la Commission européenne (CE) dans le cadre du DMA sont les suivants :

• Alphabet
• Amazon
• Apple
• ByteDance
• Meta
• Microsoft

Dans son communiqué de presse, la CE identifie ‌22 services de plateforme majeurs supervisés par ces contrôleurs d’accès :

• 4 réseaux sociaux (Facebook, Instagram, LinkedIn, TikTok)
• 2 grands services de communication (Facebook Messenger et WhatsApp)
• 6 plateformes dites « d’intermédiation » (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
• 1 moteur de recherche (Google)
• 2 navigateurs Web (Chrome et Safari)
• 3 services de publicité en ligne (Amazon, Google et Meta)
• 3 grands systèmes d’exploitation (Google Android, iOS, Windows PC OS)
• 1 plateforme de partage de vidéos (YouTube)

En vertu du DMA, les contrôleurs d’accès ont maintenant jusqu’au 6 mars 2024 pour se conformer à la liste complète d’obligations et d’interdictions pour assurer une concurrence équitable et protéger la confidentialité des utilisateurs. Il s’agit notamment d’éviter les pratiques déloyales, d’assurer un accès transparent aux services et de partager les données avec les utilisateurs professionnels.

Google a déjà mentionné qu’il prévoyait d’apporter des modifications : « Notre objectif est de mettre en œuvre des modifications conformes à cette nouvelle législation, tout en préservant l’expérience utilisateur et en fournissant des produits de valeur, novateurs et sûrs aux utilisateurs européens. » (Traduit de l’anglais – source : blog.google)

Microsoft a accepté sa nomination comme contrôleur d’accès, mais a demandé d’ouvrir une enquête sur la possibilité d’exempter les services de Microsoft tels que Bing, Edge et Microsoft Ads du DMA.

Apple et TikTok se sont montrés moins enthousiastes. Apple a exprimé des préoccupations continues concernant les risques de confidentialité et de sécurité associés au DMA (source : Reuters). Dans un communiqué, Apple a souligné son engagement à « limiter ces impacts et continuer à fournir les meilleurs produits et services à ses clients européens » (traduit de l’anglais). TikTok a déclaré être « fondamentalement en désaccord avec cette décision » et « regretter qu’aucune enquête de marché n’ait été menée avant cette décision » (traduit de l’anglais), ajoutant étudier les prochaines mesures à prendre.

Parallèlement, Meta, la société mère de Facebook, a déclaré qu’elle évaluait actuellement sa nomination par la Commission européenne.

Les contrôleurs d’accès doivent assurer l’interopérabilité avec les services tiers, en leur permettant de communiquer et de s’intégrer à la plateforme du contrôleur d’accès. Cela favorise la concurrence et empêche les contrôleurs d’accès de favoriser leurs propres services par rapport à ceux de leurs concurrents. Les obligations en matière de non-discrimination garantissent que les contrôleurs d’accès traitent toutes les entreprises et tous les utilisateurs de manière équitable, sans accorder de traitement préférentiel à leurs propres produits ou services.

Les contrôleurs d’accès doivent permettre aux utilisateurs de transférer leurs données personnelles d’un service à un autre, ce que l’on appelle la portabilité des données. Cela permet aux utilisateurs de basculer entre les plateformes et de conserver le contrôle de leurs données. Les contrôleurs d’accès sont également tenus de fournir aux entreprises et aux tiers, sur demande, un accès en temps réel aux données générées par les utilisateurs sur leur plateforme.

Les contrôleurs d’accès doivent fournir une description claire et contrôlée des techniques utilisées pour profiler les consommateurs sur leur plateforme. Cela comprend des informations sur la finalité, la durée et l’impact du profilage, ainsi que les mesures prises pour obtenir le consentement de l’utilisateur ou proposer des options de refus ou retrait de consentement. La transparence garantit que les utilisateurs sont conscients de la façon dont leurs données sont utilisées et leur garantit un plus grand contrôle sur leur confidentialité.

Le DMA a des implications importantes pour la confidentialité des utilisateurs et la gestion du consentement. Il introduit des restrictions sur les bases juridiques sur lesquelles les contrôleurs d’accès peuvent se fonder pour traiter les données à caractère personnel, en les limitant à des motifs juridiques spécifiques tels que le consentement de l’utilisateur, les obligations légales, les intérêts vitaux ou les tâches d’intérêt public.

L’accent mis par le DMA sur l’obtention d’un consentement explicite s’aligne sur les principes du marketing basé sur le consentement, qui met l’accent sur l’obtention de la permission des individus avant d’utiliser leurs renseignements personnels à des fins de marketing. En exigeant le consentement explicite de l’utilisateur lors du traitement des données personnelles, le DMA protège la confidentialité de l’utilisateur et veille à ce que les individus aient le pouvoir de décider comment leurs données sont utilisées.

Les contrôleurs d’accès doivent obtenir le consentement de l’utilisateur pour le traitement des données personnelles dans certains cas, par exemple à des fins de publicité en ligne ou de combinaison de données personnelles provenant de différents services.

Le DMA définit les conditions à remplir pour obtenir un consentement valable, notamment informer les utilisateurs des conséquences d’un refus de consentement et interdire les interfaces truquées (« dark patterns ») qui manipulent les utilisateurs pour qu’ils donnent leur consentement.

Le DMA impose aux contrôleurs d’accès de partager les données personnelles avec les entreprises opérant sur leur plateforme et avec les sociétés de publicité, sur demande. Cela permet aux entreprises de consulter et d’utiliser les données des utilisateurs pour fournir des services personnalisés et de la publicité ciblée.

Toutefois, les contrôleurs d’accès doivent veiller à ce que le partage des données se fasse dans des conditions équitables, raisonnables et non discriminatoires, en protégeant la confidentialité des utilisateurs et en prévenant toute utilisation abusive des données à caractère personnel.

L’une des dispositions clés du DMA stipule l’obligation pour les contrôleurs d’accès de permettre la portabilité des données, afin que les utilisateurs puissent transférer leurs données personnelles vers d’autres plateformes ou services. Cela permet aux utilisateurs d’exercer un plus grand contrôle sur leurs données et facilite la concurrence en permettant aux utilisateurs de basculer d’une plateforme à l’autre sans perdre leurs données.

La transparence est un aspect fondamental du DMA, qui garantit que les utilisateurs sont informés de la manière dont leurs données sont traitées et leur donne la possibilité d’effectuer des choix éclairés.

Les contrôleurs d’accès doivent fournir des informations claires sur leurs techniques de profilage et obtenir le consentement de l’utilisateur pour la publicité ciblée. Les utilisateurs doivent avoir la possibilité de refuser ou de retirer leur consentement et ne pas être soumis à des pratiques trompeuses.

Le DMA mandate les contrôleurs d’accès pour s’assurer que les sites web et/ou les entreprises utilisant leurs services recueillent, gèrent et enregistrent le consentement des utilisateurs d’une manière transparente et conviviale. La manière dont les contrôleurs d’accès y parviendront et les exigences juridiques et techniques qu’ils définiront pour les annonceurs restent à déterminer.

Cependant, nous pouvons déjà penser que les utilisateurs des services des contrôleurs d’accès (par exemple, les sites web, les applications et les entreprises associées) joueront un rôle central dans la collecte des consentements appropriés, même s’ils ne sont pas ceux qui sont en fin de compte responsables de la conformité au DMA.

Les plateformes de gestion du consentement telles que Usercentrics CMP ou la solution de consentement Cookiebot™ sont déjà indispensables pour que les entreprises recueillent des consentements appropriés pour la collecte de données.

En tant que pièce maîtresse de l’écosystème de la protection de la confidentialité et propriétaire des deux solutions de gestion du consentement mentionnées précédemment, Usercentrics surveillera de près les développements futurs et veillera à ce que nos solutions restent conformes aux implications du Digital Markets Act (DMA) et d’autres législations pertinentes qui pourraient émerger ou évoluer.

Bien que le DMA vise à protéger la confidentialité des utilisateurs et à promouvoir une concurrence loyale, il présente également des défis pour les contrôleurs d’accès et les régulateurs. Les contrôleurs d’accès devront adapter leurs pratiques de traitement des données, effectuer des modifications techniques et assurer le respect des dispositions du DMA. Les régulateurs joueront un rôle crucial dans l’application du DMA et la garantie que les contrôleurs d’accès respectent leurs obligations.

Le Digital Markets Act représente une étape importante vers la protection de la confidentialité des utilisateurs et la promotion d’une concurrence loyale dans le secteur numérique. En imposant des obligations aux contrôleurs d’accès et en renforçant le contrôle des utilisateurs sur les données personnelles, le DMA vise à créer un écosystème numérique plus transparent et centré sur l’utilisateur.

À mesure que les contrôleurs d’accès et les régulateurs travaillent à la mise en œuvre du DMA, il est essentiel de trouver un équilibre entre la concurrence, l’innovation et les droits des utilisateurs en matière de confidentialité.

Nous veillerons à vous tenir informé de ces changements dès qu’ils interviendront. Si vous souhaitez recevoir les mises à jour du DMA sur les questions de gestion du consentement directement dans votre boîte de réception, assurez-vous de vous abonner à notre newsletter.

Usercentrics ne fournit pas de conseils juridiques et les informations sont fournies uniquement à des fins pédagogiques. Nous vous recommandons de toujours faire appel à un conseiller juridique qualifié ou à des spécialistes de la protection de la vie privée en ce qui concerne les questions et les opérations relatives à la confidentialité et à la protection des données.